Ben ik als CISO persoonlijk aansprakelijk onder NIS2 voor falend securitybeleid?

Een lezer vroeg me:

Ik ben CISO bij een middelgroot bedrijf waarbij ICT van groot belang is. Overal lees ik dat bestuurders onder de NIS2-richtlijn persoonlijk aansprakelijk worden voor falende cyberbeveiliging. Ik ben degene die het securitybeleid opstelt en uitvoert — als er iets misgaat, ben ik dan in privé aansprakelijk? Kan een klant of een slachtoffer van een datalek mij persoonlijk een claim sturen?

Ik snap de zorg, want het gonst inderdaad van de waarschuwingen over “persoonlijke aansprakelijkheid” onder NIS2. Maar zo snel als dit gaat het zeker niet.

In maart besprak ik de vraag of een slachtoffer van het Odido-datalek de directie persoonlijk kon aanspreken. Sindsdien is  de Cyberbeveiligingswet (Cbw) aangenomen als de Nederlandse implementatie van de NIS2-richtlijn. Het wetsvoorstel ligt nu bij de Eerste Kamer en de regering mikt op inwerkingtreding per 1 juli 2026. We zijn er dus bijna.

Artikel 20 lid 1 van de NIS2-richtlijn bepaalt dat de bestuursorganen van essentiële en belangrijke entiteiten de cyberbeveiligingsmaatregelen moeten goedkeuren, toezien op de uitvoering ervan, en “aansprakelijk kunnen worden gesteld” voor inbreuken. Artikel 32 lid 6 gaat nog een stap verder en spreekt over “elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger” van een essentiële entiteit.

Een CISO heeft ondanks de C in de titel doorgaans geen bestuursfunctie. Zoals het NCSC het omschrijft: de CISO heeft een adviserende, coördinerende en controlerende rol. Je stelt het beleid op, je adviseert de directie, je stuurt de uitvoering aan — maar je bent niet degene die formeel bestuurt in de zin van artikel 2:9 BW.

Dat is essentieel, want de persoonlijke aansprakelijkheid uit de NIS2 is dus wat we in Nederland bestuurdersaansprakelijkheid noemen. Niet een aparte route waarbij iedere gedupeerde een schadeclaim jou in privé mag leggen.

Natuurlijk kun je door je werkgever wel aangesproken worden op nalatigheid bij je werk. En een datalek na handelen conform jouw advies kan daar aanleiding toe geven. Maar dat gaat om zaken als een berisping, demotie of uiteindelijk ontslag en niet om financiële claims.

Arnoud